Sign in Subscribe
Cibersegurança

Vulnerabilidade na #DeepSeek expõe publicamente banco de dados #ClickHouse

Pesquisadores descobriram um banco de dados público da DeepSeek expondo informações sensíveis.

Ricardo Maganhati

Ricardo Maganhati

2 min read
Vulnerabilidade na #DeepSeek expõe publicamente banco de dados #ClickHouse
Créditos da imagem: https://www.em.com.br/emfoco/2025/01/28/deepseek-a-startup-chinesa-que-desafia-as-big-techs-com-inovacao-e-eficiencia-imparaveis/

A empresa Wiz Research descobriu um banco de dados ClickHouse público pertencente à DeepSeek, em que estão expostos históricos de bate-papo, secret keys e detalhes de backend. Após a divulgação (ética), a DeepSeek prontamente corrigiu o problema.

“Em minutos, encontramos um banco de dados ClickHouse acessível publicamente vinculado ao DeepSeek, completamente aberto e não autenticado, expondo dados sensíveis. Ele estava hospedado em oauth2callback.deepseek.com:9000 e dev.deepseek.com:9000, diz o relatório publicado pela Wiz.

Este banco de dados continha um volume significativo de histórico de bate-papo, dados de backend e informações confidenciais, incluindo informações de log, APIs secrets e detalhes operacionais”.

Os pesquisadores observaram que o vazamento poderia ter permitido que invasores assumissem o controle total do banco de dados e potencialmente aumentassem os privilégios dentro do ambiente da DeepSeek, sem qualquer autenticação.

Os especialistas usaram a interface HTTP do ClickHouse e acessaram a url /play para executar consultas SQL arbitrárias por meio do navegador.

Ao executar uma consulta SHOW TABLES, os pesquisadores obtiveram uma lista completa de conjuntos de dados, incluindo a tabela log_stream com mais de um milhão de entradas de log contendo dados altamente sensíveis. A tabela incluía as seguintes colunas:

  • timestamp – Registros de 6 de janeiro de 2025
  • span_name – Referências a vários endpoints internos da API DeepSeek
  • string.values ​​– Logs de texto simples , incluindo histórico de bate-papo , chaves de API, detalhes de backend e metadados operacionais
  • _service – Indicando qual serviço DeepSeek gerou os logs
  • _source – Expondo a origem das solicitações de log , contendo histórico de bate-papo, chaves de API, estruturas de diretório e logs de metadados do chatbot
Créditos da imagem: https://securityaffairs.com/173666/data-breach/deepseek-db-exposed-highly-sensitive-information.html

Os pesquisadores explicaram que não executaram consultas intrusivas além da enumeração, para preservarem as práticas éticas de pesquisa.

Esse nível de acesso representou um risco crítico para a própria segurança do DeepSeek e para seus usuários finais. Um invasor poderia não apenas recuperar logs sensíveis e mensagens de bate-papo em texto puro, mas também poderiam potencialmente exfiltrar senhas em texto puro e arquivos locais junto com informações de propriedade diretamente do servidor por meio de consultas como: SELECT *FROM (‘'filename’) dependendo da configuração do ClickHouse”, conclui o relatório”.

Créditos:

https://securityaffairs.com/173666/data-breach/deepseek-db-exposed-highly-sensitive-information.html

Read more